ディー・エヌ・エー(DeNA)は10月16日、セキュリティ担当者に向けたイベント「Security×Discussion」を開催した。同イベントは、事業会社におけるセキュリティマネジメントなどの分野に関する知見を共有/ディスカッションし、業界のレベルを上げていくことを目的としている。

第1回目となる今回は、DeNA、楽天、LINEの3社がセキュリティに関する取り組みについて紹介した。本稿では、DeNA 茂岩祐樹氏、楽天 福本佳成氏、LINE 新美融氏によるパネルディスカッションの様子をお届けしたい。

左からDeNA 茂岩祐樹氏、楽天 福本佳成氏、LINE 新美融氏

セキュリティに関する規定の作成はどの部署が担当すべきか?

まずは、登壇者3名について紹介したい。茂岩氏は、DeNAの創業時からインフラ構築/運用を統括。2014年にセキュリティ部を設立し、現在は同社のシステム本部セキュリティ部部長を務める。福本氏は、スタートアップ企業でのセキュリティプロダクトの研究開発を経て、2002年に楽天に入社。以来、楽天グループのサービスのセキュリティを担当してきた。新美氏は、LINEのセキュリティセンター 情報セキュリティ室に所属。プライバシーポリシの策定やプライバシー保護規制の各国法対応を進めている。

パネルディスカッションは、事前に参加者から寄せられた質問を基に進められた。1つ目のテーマは「セキュリティに関する規定やマニュアルは誰が書いているのか?」だ。

会社によっては法務が主体で書いたり、専門部署が設置されていたりすることもあるが、「DeNAではセキュリティに関する規定はセキュリティ担当者が書いている」と茂岩氏。その理由について「セキュリティポリシーのなかでも、暗号化のアルゴリズムや暗号化強度など技術的な対策に関わるルールを作るのは、セキュリティ専門部署ならではの知識が必要」だからだと説明する。まず初めにセキュリティ担当者が草案を作って、法務や経営企画担当が補完するかたちで完成させていくという。

一方、楽天ではかつて福本氏が作成していたが、現在では専門部署を置いている。自身の経験を踏まえ、福本氏は「どう運用していきたいかということについては現場に思いやノウハウがある。規程の整合性や外部からの要求を確認するなど全体を俯瞰してバランスを見ながら、連携して規程類を作っている」と、実際に運用する現場と連携して進めていくことの重要性を述べた。

また、新美氏によると、LINEのセキュリティ組織はITセキュリティと情報セキュリティに分かれており、個人情報管理規定やBYOD規定の作成などは、情報セキュリティチームが担当している。DeNA同様「規定が正式なものになっていく過程で、各部署のレビューを経る」としている。

ここで、茂岩氏は規定の作成をアウトソースするケースについても触れ、「作った規定を実際に組織の中でワークさせるためには、『文化の投影』という作業が必要になる。そこは、絶対に社内の人間がやるべき」と助言した。大枠はアウトソースして作成してもよいが、それが実際に自分の会社の文化で守れるものかどうか、自分たちで確認しながらカスタマイズしていくべきということだ。